Title: Beveiliging van digitale informatie: enkele uitdagingen voor de overheid
1Beveiliging van digitale informatieenkele
uitdagingen voor de overheid
Frank Robben Algemeen bestuurder Kruispuntbank
Sociale Zekerheid Gedelegeerd bestuur Smals
vzw Sint-Pieterssteenweg 375 B-1040
Brussel E-mail Frank.Robben_at_ksz.fgov.be Website
KSZ www.ksz.fgov.be Persoonlijke website
www.law.kuleuven.ac.be/icri/frobben
Kruispuntbank Sociale Zekerheid
2Viervoudige rol van de overheid
- instelling van de gepaste organen
- uitwerken van regelgeving inzake de digitale
beveiliging van informatie - aanbieden van componenten en diensten ter
ondersteuning van de beveiliging van digitale
informatie - degelijke beveiliging van de digitale informatie
verwerkt binnen de overheid
3Instelling van gepaste organen
- overheidsorganen zijn nodig voor
- de bepaling van een overkoepelende strategie
inzake de beveiliging van digitale informatie - de gecoördineerde uitwerking van relevante
regelgeving - het voeren van een preventiebeleid
- het gecoördineerd beheer van bepaalde ernstige
incidenten inzake veiligheid van digitale
informatie - adviesverstrekking
- de behandeling van klachten
- de machtiging van uitwisseling van
persoonsgegevens tussen de overheidsdiensten - de vaststelling en vervolging van strafbare
inbreuken op de regelgeving
4Instelling van gepaste organen
- er bestaan reeds talrijke overheidsorganen met
taken inzake beveiliging van digitale informatie
zoals - de Nationale Veiligheidsoverheid (NVO)
- het Coördinatie-orgaan voor de Analyse van de
Dreiging (OCAD) - het Overlegplatform voor Informatieveiligheid
- Belnet
- het Belgisch Instituut voor Postdiensten en
Telecommunicatie (BIPT) - het Crisiscentrum van de FOD Binnenlandse Zaken
- de Federal Computer Crime Unit (FCCU) van de
federale politie - de FOD Economie
- de FOD Informatie- en Communicatietechnologie
- de Kruispuntbank van de Sociale Zekerheid (KSZ)
en de erkende gespecialiseerde informatieveilighei
dsdienst bij Smals vzw - de Commissie voor de Bescherming van de
Persoonlijke Levenssfeer
5Instelling van gepaste organen
- er is nood aan
- een duidelijke afbakening van de taken tussen de
onderscheiden organen - een afdoende betrokkenheid van de relevante
actoren bij de werking van de organen - een degelijke onderlinge coördinatie tussen de
onderscheiden organen - voldoende middelen voor de onderscheiden organen,
gebaseerd op een zero-based budgeting benadering - een werking van alle organen op basis van
risico-analyse, zodat een goed evenwicht ontstaat
tussen beveiliging en efficiëntie
6Regelgeving inzake beveiliging vandigitale
informatie
- afstemming op inter- of supranationale
regelgeving - onderling coherent, vertrekkend van globale visie
op beveiliging van digitale informatie - technologieneutraal, met vooral doelstellingen en
basisprincipes - aanvulbaar op bepaalde vlakken met gecontroleerde
zelfregulering - themata
- bescherming persoonlijke levenssfeer
- classificatie van informatie
- evaluatie, certificatie en homologatie van
informatiesystemen - geheim van communicaties
- computercriminaliteit
- elektronische handtekening
- deontologische regels voor beroepen inzake
informatieveiligheid -
7Aanbod van ondersteunendecomponenten en diensten
- bijvoorbeeld
- organisatie van evaluatie, certificatie en
homologatie van informatiesystemen - Computer Security Information Response Team
(CSIRT) - basiscomponenten en -diensten voor degelijke,
gedistribueerde organisatie van gebruikers- en
toegangsbeheer - registratie van de identiteit
- identificatie
- authenticatie van de identiteit
- registratie van bepaalde kenmerken en mandaten
- verificatie van bepaalde hoedanigheden en
mandaten
8Gebruikers- en toegangsbeheer
- registratie van de identiteit
- natuurlijke personen gemeenten
- ondernemingen ondernemingsloketten
- identificatie uniek identificatienummer voor
elke entiteit - natuurlijke personen rijksregister- of
(subsidiair) KSZ-nummer (samen identificatienummer
sociale zekerheid (INSZ) genoemd) - ondernemingen ondernemings- en vestigingsnummer
- authenticatie van de identiteit van een
natuurlijk persoon in functie van het vereiste
beveiligingsniveau - elektronische identiteitskaart
- gebruikersnummer, paswoord en burgertoken
- gebruikersnummer en paswoord
9Gebruikers- en toegangsbeheer
- registratie van bepaalde hoedanigheden en
mandaten door daartoe goed uitgeruste
overheidsdiensten, bijvoorbeeld - hoedanigheid van gezondheidszorgverstrekker door
de FOD Volksgezondheid, Veiligheid van de
Voedselketen en Leefmilieu en het RIZIV in
onderlinge samenwerking - mandaat om een onderneming te vertegenwoordigen
door de RSZ en de ondernemingsloketten in
onderlinge samenwerking - verificatie van hoedanigheden en mandaten
toegang tot gevalideerde authentieke bronnen - autorisatie tot gebruik van een toepassing
beheer door aanbieder van de toepassing - uitgebouwd via een generiek policy enforcement
model
10Policy Enforcement Model
Actie
op
Actie
toepassing
Policy
op
GEWEIGERD
toepassing
Gebruiker
Toepassing
Toepassing
TOEGESTAAN
(
PEP
)
Actie
op
toepassing
Beslissings
Beslissings
aanvraag
antwoord
Informatie
Vraag
/
Policy
Ophalen
Antwoord
Policies
Beslissing
(
PDP
)
Informatie
Vraag
/
Antwoord
Autorisatie
Policy Administratie
Policy Informatie
Policy Informatie
beheer
(
PAP
)
(
PIP
)
(
PIP
)
Beheerder
Authentieke bron
Authentieke bron
Policy
repository
11Implementatie over sectoren heen
Niet-sociale FODs (Fedict)
Be-Health
Sociale sector (KSZ)
USER
USER
USER
APPLICATIONS
APPLICATIONS
APPLICATIONS
Authorisation
Authen
-
Authorisation
Authen
-
Authorisation
Authen
-
tication
tication
tication
PEP
PEP
PEP
WebApp
WebApp
WebApp
Role
Role
Role
XYZ
XYZ
XYZ
Mapper
Mapper
Mapper
Role
Role
Role
Mapper
Mapper
Mapper
DB
DB
DB
PDP
Role
PAP
PDP
PDP
Role
Role
PAP
PAP
Provider
Role
Provider
Provider
Role
Kephas
Role
Kephas
Kephas
DB
Provider
DB
DB
Provider
Provider
PIP
PIP
PIP
PIP
PIP
PIP
PIP
PIP
PIP
Attribute
Attribute
Attribute
Attribute
Attribute
Attribute
Attribute
Attribute
Attribute
Provider
Provider
Provider
Provider
Provider
Provider
Provider
Provider
Provider
Beheer
DB
DB
Beheer
Beheer
Gerechts- deurwaar- ders
DB
DB
DB
DB
DB
UMAF
RIZIV
XYZ
XYZ
XYZ
GAB
Mandaten
XYZ
GAB
Mandaten
GAB
12Beveiliging van (digitale) overheidsinformatie
- via stapsgewijze verfijning wordt geleidelijk aan
een overheids-instelling-overkoepelend
informatieveiligheidsbeleid uitgewerkt op basis
van risico-analyse en internationale standaarden,
zoals de ISO-normenreeks 27000 - de veiligheid, de integriteit, de
vertrouwelijkheid en de beschikbaarheid van de
verwerkte informatie wordt gewaarborgd door een
geïntegreerd geheel van maatregelen die het
informatie-veiligheidsbeleid uitvoering geven - structurele
- institutionele
- organisatorische
- ICT-technische
- fysieke
- personeelsgebonden
13Beveiliging van (digitale) overheidsinformatie
- persoonsgegevens worden enkel gebruikt voor
doeleinden die verenigbaar zijn met de doeleinden
waarvoor ze zijn ingezameld - persoonsgegevens zijn slechts toegankelijk voor
daartoe gemachtigde gebruikers in functie van de
bedrijfsbehoeften, de regelgeving of de
toepassing van het beleid - persoonsgegevens worden niet centraal opgeslagen,
maar volgens een afgesproken taakverdeling
gedistribueerd bewaard in authentieke bronnen - de machtiging voor de toegang tot
persoonsgegevens wordt, buiten de gevallen waarin
ze wettelijk is toegestaan, verleend door een
door het Parlement benoemd sectoraal comité van
de Commissie voor de Bescherming van de
Persoonlijke Levenssfeer, nadat is vastgesteld
dat aan de hoger vermelde voorwaarden is voldaan - de toegangsmachtigingen zijn publiek
14Beveiliging van (digitale) overheidsinformatie
- elke concrete elektronische uitwisseling van
persoonsgegevens wordt preventief getoetst op
conformiteit met de geldende toegangsmachtigingen
door een onafhankelijke trusted third party,
zijnde een andere instantie dan degene die de
informatie ter beschikking stelt of de informatie
nodig heeft, die daartoe de wettelijke opdracht
heeft gekregen (bvb. de KSZ) - elke elektronische uitwisseling van
persoonsgegevens wordt door de trusted third
party gelogd om eventueel oneigenlijk gebruik ex
post te kunnen traceren - telkens de informatie wordt gebruikt voor een
beslissing wordt aan de betrokkene de gebruikte
informatie meegedeeld bij de mededeling van de
beslissing - elke persoon heeft recht op toegang en, in geval
de gegevens onjuist zijn, op verbetering van zijn
eigen persoonsgegevens
15Beveiliging van (digitale) overheidsinformatie
- bij elke overheidsinstelling die informatie
(elektronisch) verwerkt wordt een interne
informatieveiligheidsdienst ingericht met een
adviserende, stimulerende, documenterende en
intern controlerende functie - de interne informatieveiligheidsdienst werkt een
ontwerp van informatieveiligheidsplan en budget
uit, dat door het bevoegde beslissingsorgaan van
de overheidsinstelling wordt goedgekeurd, en
stelt ten behoeve van dat beslissingsorgaan een
jaarlijks informatieveiligheidsrapport op - de verantwoordelijken voor de interne
informatieveiligheidsdiensten werken samen in een
werkgroep Informatieveiligheid met het oog op de
nodige coördinatie op het vlak van - het vastleggen van het informatieveiligheidsbeleid
- het uitvoeren van het informatieveiligheidsbeleid
- het voorstellen van minimale normen inzake
informatieveiligheid
16Beveiliging van (digitale) overheidsinformatie
- de minimale normen inzake informatieveiligheid
worden goedgekeurd door (het bevoegde sectorale
comité van) de Commissie voor de Bescherming van
de Persoonlijke Levenssfeer - alle overheidsinstellingen worden jaarlijks
bevraagd over de naleving van de minimale normen
bij niet-naleving worden gerichte
verbeteringsmaatregelen afgesproken of opgelegd - de interne informatieveiligheidsdiensten worden
bij hun werking ondersteund door een
gespecialiseerde informatieveiligheidsdienst, die
voldoet aan bepaalde erkenningsvoorwaarden inzake
deskundigheid, onafhankelijkheid en werking aan
kostprijs de erkenning wordt verstrekt door de
Regering op advies van (het bevoegde sectorale
comité van) de Commissie voor de Bescherming van
de Persoonlijke Levenssfeer
17Beveiliging van (digitale) overheidsinformatie
- de minimale veiligheidsnormen hebben betrekking
op - risico-analyse en beheer
- informatieveiligheidspolicies
- beheer en organisatie van de informatieveiligheid
- inventarisering en classificatie van informatie
- human resources veiligheid
- fysieke beveiliging en beveiliging van de
omgeving - beheer van dienstverlenende en communicatieprocess
en - verwerking van persoonsgegevens
- gebruikers- en toegangscontrole
- verwerving, ontwikkeling en onderhoud van
informatiesystemen - beheer van informatieveiligheidsincidenten
- beschikbaarheids- en continuïteitsbeheer
- compliance interne en externe controle
- communicatie van het beleid en de maatregelen
inzake informatieveiligheid naar de stakeholders
18Meer informatie
- website Commissie voor de Bescherming van de
Persoonlijke Levenssfeer - http//www.privacycommission.be/
- website Kruispuntbank van de Sociale Zekerheid
- http//www.ksz.fgov.be
- website Federale Overheidsdienst Informatie- en
Communicatie-technologie (Fedict) - http//www.fedict.be
- website Smals vzw (erkende gespecialiseerde
informatieveiligheids-dienst) - http//www.smals.be
- persoonlijke website van Frank Robben
- http//www.law.kuleuven.ac.be/icri/frobben
19D_at_nk u !Vragen ?
Kruispuntbank Sociale Zekerheid
Brussel, 10 december 2007